DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 einheitliche Anforderungen an die digitale operationelle Resilienz von Finanzunternehmen stellt. Sie harmonisiert die Anforderungen an IKT-Risikomanagement, Incident Reporting, Resilience Testing und Third-Party Risk Management im gesamten EU-Finanzsektor.
Inhalt
Was ist DORA?
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft getreten ist und seit dem 17. Januar 2025 vollständig anzuwenden ist. DORA schafft einen einheitlichen europäischen Rechtsrahmen für die digitale operationelle Resilienz im Finanzsektor.
Vor DORA existierten in den EU-Mitgliedstaaten unterschiedliche nationale Regelungen zur IT-Sicherheit in Finanzunternehmen. In Deutschland waren dies vor allem die BAIT (Bankaufsichtliche Anforderungen an die IT) und die MaRisk. DORA harmonisiert diese Anforderungen auf europäischer Ebene und erweitert sie deutlich.
Warum wurde DORA eingeführt?
Der Finanzsektor ist zunehmend von digitalen Technologien abhängig. Cyberangriffe, IT-Ausfälle und Schwachstellen bei Drittanbietern können gravierende Auswirkungen haben – nicht nur für einzelne Institute, sondern für die Stabilität des gesamten Finanzsystems. DORA adressiert diese systemischen Risiken durch:
- Einheitliche Standards für IKT-Risikomanagement in der gesamten EU
- Stärkung der Widerstandsfähigkeit gegen Cyberbedrohungen und IT-Ausfälle
- Regulierung kritischer Drittanbieter wie Cloud-Provider
- Verbesserter Informationsaustausch über Bedrohungen
Für wen gilt DORA?
DORA hat einen breiten Anwendungsbereich und erfasst nahezu alle Akteure des Finanzsektors. Die Verordnung gilt für:
Finanzunternehmen
- Kreditinstitute (Banken)
- Zahlungsinstitute
- E-Geld-Institute
- Wertpapierfirmen
- Versicherungsunternehmen
- Rückversicherer
- Kapitalverwaltungsgesellschaften
- Ratingagenturen
- Krypto-Dienstleister
- Crowdfunding-Plattformen
IKT-Drittdienstleister
- Cloud-Service-Provider
- Software-Anbieter
- Rechenzentren
- IT-Outsourcing-Dienstleister
- Datenanalyse-Anbieter
Kritische IKT-Drittdienstleister unterliegen einer direkten Aufsicht durch die ESAs (EBA, EIOPA, ESMA).
Das Proportionalitätsprinzip
DORA berücksichtigt, dass nicht alle Finanzunternehmen gleich sind. Das Proportionalitätsprinzip erlaubt eine risikoorientierte Umsetzung: Kleinere Institute mit einfacheren Geschäftsmodellen müssen die Anforderungen entsprechend ihrer Größe, ihres Risikoprofils und der Komplexität ihrer Dienste umsetzen.
Allerdings bedeutet Proportionalität nicht Freistellung. Alle Finanzunternehmen müssen DORA einhalten – der Umfang der Maßnahmen variiert jedoch.
Die 5 Säulen von DORA
DORA basiert auf fünf zentralen Themenbereichen, die zusammen einen umfassenden Rahmen für die digitale Resilienz bilden:
IKT-Risikomanagement
Der Kern von DORA: Ein robustes Rahmenwerk zur Identifikation, Bewertung und Steuerung aller IKT-bezogenen Risiken.
- IKT-Risikostrategie und -Governance
- Identifikation kritischer Funktionen und Assets
- Schutz- und Präventionsmaßnahmen
- Erkennung anomaler Aktivitäten
- Business Continuity Management
- Backup- und Wiederherstellungsstrategien
IKT-Vorfallsmanagement
Strukturierte Prozesse zur Behandlung und Meldung von IKT-bezogenen Vorfällen.
- Klassifizierung von Vorfällen
- Meldepflichten an Aufsichtsbehörden
- Fristen: Erstmeldung innerhalb von 4 Stunden
- Zwischenbericht nach 72 Stunden
- Abschlussbericht nach 1 Monat
- Root-Cause-Analyse
Digital Operational Resilience Testing
Regelmäßige Tests zur Überprüfung der Widerstandsfähigkeit.
- Jährliche Basis-Tests (alle Unternehmen)
- Schwachstellenanalysen
- Penetrationstests
- TLPT alle 3 Jahre (systemrelevante Institute)
- Szenariobasierte Tests
- Tests von Drittanbietern einbeziehen
IKT-Drittparteienrisiko
Umfassendes Management der Risiken aus Auslagerungen und Drittanbieter-Beziehungen.
- Vertragliche Mindestanforderungen
- Informationsregister aller IKT-Dienstleister
- Risikobasierte Due Diligence
- Exit-Strategien
- Konzentrationsrisiken bewerten
- Überwachung kritischer Drittanbieter
Informationsaustausch
Freiwilliger Austausch von Bedrohungsinformationen zur Stärkung der kollektiven Resilienz.
- Cyber Threat Intelligence teilen
- Teilnahme an Informationsaustausch-Vereinbarungen
- Indikatoren für Kompromittierung (IoC)
- Taktiken, Techniken, Prozeduren (TTP)
- Datenschutzkonforme Umsetzung
DORA Timeline & Fristen
Veröffentlichung
DORA wird im EU-Amtsblatt veröffentlicht
Inkrafttreten
DORA tritt in Kraft, 24-monatige Umsetzungsfrist beginnt
Technische Standards (RTS/ITS)
ESAs erarbeiten detaillierte technische Regulierungsstandards
Anwendungsbeginn
DORA ist vollständig anzuwenden! Alle Anforderungen müssen erfüllt sein.
Informationsregister
Erstes vollständiges Informationsregister aller IKT-Drittdienstleister fällig
TLPT-Zyklus
Systemrelevante Institute müssen ersten TLPT durchführen
DORA Umsetzung: Schritt für Schritt
Die Umsetzung von DORA ist ein komplexes Projekt, das strukturiert angegangen werden sollte. Wir empfehlen folgendes Vorgehen:
Gap-Analyse durchführen
Erfassen Sie den Ist-Zustand und identifizieren Sie Lücken zu den DORA-Anforderungen. Nutzen Sie unseren kostenlosen DORA Health-Check für eine erste Standortbestimmung.
Governance etablieren
Definieren Sie klare Verantwortlichkeiten. Die Geschäftsleitung muss das IKT-Risikomanagement-Rahmenwerk genehmigen und überwachen. Etablieren Sie eine IKT-Risikomanagement-Funktion.
Kritische Funktionen identifizieren
Ermitteln Sie Ihre kritischen und wichtigen Funktionen sowie die unterstützenden IKT-Assets. Diese bilden die Grundlage für Schutzmaßnahmen und Resilience Testing.
Drittparteien-Register aufbauen
Erstellen Sie ein vollständiges Informationsregister aller IKT-Drittdienstleister. Bewerten Sie Konzentrationsrisiken und kritische Abhängigkeiten.
Prozesse implementieren
Etablieren Sie Prozesse für Incident Management, Change Management, Business Continuity und Resilience Testing entsprechend den DORA-Anforderungen.
Testprogramm starten
Entwickeln Sie ein risikobasiertes Testprogramm. Führen Sie regelmäßige Schwachstellenanalysen, Penetrationstests und bei Bedarf TLPT durch.
Kontinuierlich verbessern
DORA-Compliance ist kein einmaliges Projekt. Etablieren Sie kontinuierliche Überwachung, regelmäßige Reviews und einen Verbesserungsprozess.
Kosten und Aufwand der DORA-Umsetzung
Die Kosten für eine DORA-Umsetzung variieren stark je nach Ausgangssituation, Größe und Komplexität des Unternehmens. Hier eine Orientierung:
| Unternehmensgröße | Typische Kosten | Zeitrahmen | Personalbedarf (intern) |
|---|---|---|---|
| Klein (<50 MA) | 50.000 – 150.000 € | 6-12 Monate | 0,5-1 FTE |
| Mittel (50-500 MA) | 150.000 – 500.000 € | 12-18 Monate | 1-3 FTE |
| Groß (>500 MA) | 500.000 € + | 18-24 Monate | 3+ FTE |
FTE = Vollzeitäquivalent. Die Kosten umfassen externe Beratung, Tools, Schulungen und ggf. technische Maßnahmen. Nicht enthalten sind Kosten für grundlegende IT-Security-Infrastruktur.
Kostentreiber bei der DORA-Umsetzung
- Ausgangssituation: Unternehmen mit bestehendem ISMS (z.B. ISO 27001) haben Vorteile
- Komplexität der IT-Landschaft: Viele Legacy-Systeme erhöhen den Aufwand
- Anzahl Drittanbieter: Jeder IKT-Dienstleister muss dokumentiert und bewertet werden
- TLPT-Pflicht: Systemrelevante Institute haben höhere Testkosten
- Dokumentationsaufwand: DORA verlangt umfangreiche Nachweise
Kostenlose Ersteinschätzung
Wo steht Ihr Unternehmen? Unser kostenloser DORA Health-Check gibt Ihnen eine erste Orientierung über Ihren Reifegrad und identifiziert die wichtigsten Handlungsfelder.
DORA Health-Check starten →DORA vs. NIS2: Was ist der Unterschied?
Viele Finanzunternehmen fragen sich, wie DORA und NIS2 zusammenhängen. Hier die wichtigsten Unterschiede:
| Aspekt | DORA | NIS2 |
|---|---|---|
| Rechtsform | EU-Verordnung (direkt anwendbar) | EU-Richtlinie (nationale Umsetzung) |
| Geltungsbereich | Nur Finanzsektor | 18 kritische Sektoren |
| Anwendungsbeginn | 17. Januar 2025 | 18. Oktober 2024 (DE: NIS2UmsuCG) |
| Fokus | Digitale operationelle Resilienz | Allgemeine Cybersicherheit |
| Drittparteien | Detaillierte Anforderungen, direkte Aufsicht | Allgemeine Lieferkettensicherheit |
| Testing | Spezifische Testanforderungen inkl. TLPT | Keine spezifischen Testpflichten |
Wichtig für Finanzunternehmen: DORA gilt als lex specialis (spezielleres Gesetz) gegenüber NIS2. Das bedeutet: Wenn Sie DORA einhalten, erfüllen Sie im Wesentlichen auch die NIS2-Anforderungen für den Bereich Cybersicherheit. DORA geht jedoch in vielen Bereichen über NIS2 hinaus.
Warum Niagon für Ihre DORA-Umsetzung?
Schwerpunkt Finanzsektor & regulierte Industrie
Unser Schwerpunkt liegt auf Banken und Finanzdienstleistern – aber auch KRITIS-Betreiber und regulierte Industrieunternehmen profitieren von unserer Expertise in IKT-Risikomanagement und Compliance.
Pragmatischer Ansatz
Keine Theoriehandbücher, sondern umsetzbare Maßnahmen. Wir liefern Ergebnisse, keine PowerPoints.
Ganzheitliche Expertise
DORA, BAIT, MaRisk, NIS2, ISO 27001 – wir verbinden die regulatorischen Anforderungen zu einem kohärenten Rahmenwerk.
Unsere DORA-Leistungen
- DORA Health-Check: Kostenlose Standortbestimmung mit unserem Online-Assessment
- Gap-Analyse: Detaillierte Analyse Ihrer aktuellen Compliance-Situation
- Maßnahmenplanung: Priorisierter Umsetzungsplan mit Aufwandsschätzung
- Umsetzungsbegleitung: Hands-on Unterstützung bei der Implementierung
- Prüfungsvorbereitung: Fit für die BaFin-Prüfung
- Informationsregister: Aufbau und Pflege des IKT-Drittparteien-Registers
Häufige Fragen zu DORA (FAQ)
Was ist DORA?
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (EU 2022/2554), die seit Januar 2025 einheitliche Anforderungen an die digitale operationelle Resilienz von Finanzunternehmen stellt. Sie regelt IKT-Risikomanagement, Incident Reporting, Resilience Testing und Third-Party Risk Management.
Für wen gilt DORA?
DORA gilt für alle Finanzunternehmen in der EU: Kreditinstitute, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Dienstleister sowie kritische IKT-Drittdienstleister wie Cloud-Provider.
Was kostet eine DORA Gap-Analyse?
Eine DORA Gap-Analyse kostet typischerweise zwischen 15.000€ und 50.000€, abhängig von der Unternehmensgröße, Komplexität der IT-Landschaft und dem Umfang der Analyse.
Wie lange dauert die DORA-Umsetzung?
Die Umsetzungsdauer variiert: Kleine Institute benötigen typischerweise 6-12 Monate, mittlere Unternehmen 12-18 Monate und große Finanzkonzerne 18-24 Monate für eine vollständige DORA-Compliance.
Was ist der Unterschied zwischen DORA und NIS2?
DORA ist speziell für den Finanzsektor konzipiert und als EU-Verordnung direkt anwendbar. NIS2 ist eine branchenübergreifende Richtlinie für kritische Infrastrukturen, die in nationales Recht umgesetzt werden muss. Für Finanzunternehmen gilt DORA als lex specialis.
Welche Strafen drohen bei DORA-Verstößen?
Bei DORA-Verstößen können Aufsichtsbehörden Bußgelder von bis zu 10 Millionen Euro oder 5% des weltweiten Jahresumsatzes verhängen. Zusätzlich drohen Reputationsschäden und behördliche Maßnahmen bis hin zum Lizenzentzug.
Was sind die 5 Säulen von DORA?
Die 5 Säulen von DORA sind: 1) IKT-Risikomanagement, 2) IKT-Vorfallsmanagement und Meldepflichten, 3) Digital Operational Resilience Testing, 4) Management von IKT-Drittparteienrisiken, 5) Informationsaustausch über Cyberbedrohungen.
Brauchen kleine Banken auch DORA-Compliance?
Ja, DORA gilt für alle Finanzunternehmen unabhängig von der Größe. Allerdings gilt das Proportionalitätsprinzip: Kleinere Institute müssen die Anforderungen entsprechend ihrer Größe, ihres Risikoprofils und der Komplexität ihrer Geschäfte umsetzen.
Was ist TLPT (Threat-Led Penetration Testing)?
TLPT ist ein bedrohungsgeleiteter Penetrationstest, der unter DORA für systemrelevante Finanzunternehmen alle drei Jahre verpflichtend ist. Er simuliert realistische Cyberangriffe basierend auf aktuellen Bedrohungsinformationen und testet die Widerstandsfähigkeit kritischer Systeme.
Wie unterstützt Niagon bei der DORA-Umsetzung?
Niagon bietet einen ganzheitlichen DORA-Beratungsansatz: Kostenloser Health-Check zur Standortbestimmung, detaillierte Gap-Analyse, Erstellung eines Maßnahmenplans, Begleitung der Umsetzung, Vorbereitung auf Prüfungen und kontinuierliche Compliance-Überwachung.
Bereit für DORA?
Starten Sie jetzt mit unserem kostenlosen DORA Health-Check und erfahren Sie in 10 Minuten, wo Ihr Unternehmen steht.